Datenschutzerklärung

Stand: 06.06.2026 — Entwurf zur juristischen Prüfung

1. Verantwortlicher

Rexity Labs UG (haftungsbeschränkt), Kontakt: datenschutz@rexity.ai. Vollständige Anschrift siehe Impressum.

1a. Datenschutzbeauftragte:r

Eine bzw. ein Datenschutzbeauftragte:r ist bei Rexity Labs UG (haftungsbeschränkt) i. Gr. derzeit nicht bestellt. Die gesetzlichen Voraussetzungen nach § 38 BDSG (ständig mit der automatisierten Verarbeitung beschäftigte Personen, Kerntätigkeit besteht in umfangreicher regelmäßiger und systematischer Überwachung oder Verarbeitung besonderer Datenkategorien) sind in der aktuellen Unternehmensphase nicht erfüllt. Sobald die Voraussetzungen eintreten, benennen wir umgehend eine:n Datenschutzbeauftragte:n und veröffentlichen die Kontaktdaten an dieser Stelle.

Für sämtliche datenschutzbezogenen Anfragen steht Ihnen datenschutz@rexity.ai zur Verfügung.

1b. Server-Logfiles

Beim Aufruf unserer Website werden durch unseren Hosting-Anbieter (Vercel Inc., siehe §5) automatisiert technische Daten in Server-Logs erfasst, die Ihr Browser an uns übermittelt:

• IP-Adresse (anonymisiert nach kurzer Aufbewahrungsdauer)
• Datum und Uhrzeit des Zugriffs
• Browser-Typ und -Version, Betriebssystem
• Aufgerufene URL und HTTP-Status
• Referrer-URL (sofern vom Browser übermittelt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren, stabilen und missbrauchssicheren Bereitstellung unserer Website). Speicherdauer: in der Regel 30 Tage, danach automatische Löschung; im Falle eines Sicherheitsvorfalls länger bis zur abschließenden Aufklärung. Eine Zusammenführung mit anderen Daten findet nicht statt.

2. Verarbeitete Daten

• Kontaktdaten, die Sie uns über Webformulare, WhatsApp oder Telefon mitteilen (Name, E-Mail, Telefonnummer, Unternehmen).
• Inhalt Ihrer Nachrichten — pseudonymisiert in Audit-Logs gespeichert (siehe §6 „Pseudonymisierung").
• Terminbuchungen (Datum, Uhrzeit, optionale Notizen).
• Bei Sprachgesprächen: Anrufprotokoll. Audioaufzeichnungen nur bei ausdrücklicher Einwilligung.
• Technische Daten beim Webseitenbesuch (IP-Adresse, User-Agent, Zeitstempel) — gemäß Art. 6 Abs. 1 lit. f DSGVO zur Sicherheit der Plattform.

3. Zwecke und Rechtsgrundlagen

• Vertragsanbahnung und -erfüllung (Art. 6 Abs. 1 lit. b DSGVO): Beantwortung von Anfragen, Terminbuchung.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Sicherheit, Missbrauchserkennung, Qualitätsverbesserung — abgewogen gegen Ihre Interessen.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Marketing-Kommunikation, Anrufaufzeichnungen.
• Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrungsfristen.

4. WhatsApp und Sprachassistenz

Wenn Sie uns über WhatsApp kontaktieren, verarbeitet Meta Platforms Ireland Ltd. Ihre Nachrichten nach den eigenen Datenschutzbestimmungen. Wir empfangen die Nachricht und speichern eine pseudonymisierte Zusammenfassung. Sie können der Verarbeitung jederzeit widersprechen, indem Sie uns das Wort „STOP" oder „Abmelden" schreiben.

Bei Sprachassistenz weist sich unsere virtuelle Assistenz „Rexona" zu Beginn als KI-System aus. Eine Aufzeichnung erfolgt ausschließlich nach Ihrer ausdrücklichen mündlichen Einwilligung. Andernfalls wird das Gespräch ohne Audioaufzeichnung geführt.

5. Auftragsverarbeiter und Drittanbieter

Mit den nachstehenden Auftragsverarbeitern haben wir, soweit erforderlich, Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen oder werden diese vor produktivem Einsatz abschließen. Eine maschinenlesbare und stets aktuelle Liste finden Sie im Repository unter docs/PROCESSORS.md.

5.1 Aktive Anbieter (heute eingesetzt)

• Vercel Inc. (San Francisco, USA; EU-Edge in Frankfurt) — Hosting der Website und der Webhook-Endpunkte. Datenfluss: Anfrage-Metadaten (IP, Browser-UA, URL) werden zur Auslieferung verarbeitet. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. EU-Standardvertragsklauseln auf Basis Vercel-DPA.
• Vercel Analytics — anonymisierte Web-Analyse ohne Cookies; keine personenbezogenen Daten, keine geräteübergreifende Verfolgung.
• Neon (Databricks Inc.) (EU-Region Frankfurt) — Postgres-Datenbank für Leads, Termine, Audit-Logs. Daten verlassen die EU nicht. AVV nach Art. 28 DSGVO in Vorbereitung.
• Google Fonts (Google Ireland Ltd.) — Schriftarten („Inter") werden von fonts.googleapis.com nachgeladen, dabei wird Ihre IP-Adresse an Google übermittelt. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (einheitliche Darstellung). Wir prüfen die Umstellung auf selbst gehostete Schriften.
• Tailwind CSS CDN (cdn.tailwindcss.com, betrieben über jsDelivr/Cloudflare) — Styling-Bibliothek; lädt JavaScript zur Aufbereitung der Seite. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO.
• GitHub Inc. — Quellcode-Verwaltung; keine Endnutzer-Daten.

5.2 Geplante Anbieter (vor produktivem Einsatz mit AVV)

• Meta Platforms Ireland Ltd. — WhatsApp Business API (eingehende Nachrichten, ausgehende Vorlagen). Nicht aktiv. Aktivierung erst nach abgeschlossener WhatsApp-Business-Verifikation.
• Vapi / Retell / Twilio (Auswahl ausstehend) — Sprachprovider für die KI-Sprachassistenz „Rexona". Nicht aktiv. Standardmäßig ohne Aufzeichnung; Aufzeichnung nur nach ausdrücklicher Einwilligung.
• OpenAI / Anthropic / Mistral (Auswahl ausstehend) — LLM-Anbieter für die geschlossene Wissensdatenbank (RAG). Eingaben werden vor Übermittlung pseudonymisiert.
• Sentry oder Datadog (optional) — Fehlerprotokollierung. Nicht aktiv.

5.3 Was wir NICHT einsetzen

Aus Transparenzgründen führen wir auf, was auf dieser Website ausdrücklich nicht zum Einsatz kommt:

• Google Analytics, Google Tag Manager, Google Ads-Conversion-Pixel
• Meta-Pixel / Facebook-Pixel
• LinkedIn Insight Tag
• Hotjar, Microsoft Clarity, Mixpanel, Segment, Posthog
• Mailchimp, HubSpot, Pipedrive (kein Newsletter, kein CRM mit Endkunden-Daten)
• Zoom, Google Meet, Microsoft Teams (Kommunikation läuft per E-Mail oder nach individueller Verabredung)
• Cookies zu Werbe- oder Marketing-Zwecken

Sollte sich an dieser Aufstellung etwas ändern, aktualisieren wir diese Seite und die Datei docs/PROCESSORS.md innerhalb von 30 Tagen.

5a. Cookies und lokaler Speicher

Diese Website setzt keine Werbe-, Marketing- oder Profiling-Cookies. Es findet keine geräteübergreifende Wiedererkennung statt.

• Technisch notwendige Session-Cookies werden ggf. durch unseren Hosting-Anbieter Vercel gesetzt (Lastverteilung). Diese sind nach TTDSG § 25 Abs. 2 einwilligungsfrei.
• Im localStorage Ihres Browsers speichern wir ausschließlich Ihre Sprachpräferenz (DE/EN), damit der Sprachschalter beim erneuten Besuch funktioniert. Auch dies ist technisch notwendig im Sinne des § 25 Abs. 2 TTDSG.
• Sollten wir künftig Tracking-Cookies oder ähnliche Technologien einsetzen, implementieren wir vorher einen Consent-Banner mit Opt-in nach § 25 Abs. 1 TTDSG.

6. Pseudonymisierung und Audit-Logs

Audit-Logs werden mit pseudonymisierten Zusammenfassungen geschrieben. E-Mails, Telefonnummern, IBAN-Nummern und freie Texteingaben werden vor der Speicherung entfernt bzw. ersetzt. Klartext- Nachrichten landen nie in Audit-Tabellen.

7. Speicherdauer

• Webhook-Ereignisse: 30 Tage.
• Audit-Ereignisse: 180 Tage.
• Terminbuchungen: 365 Tage nach Abschluss.
• Nicht konvertierte Leads: 18 Monate.
• Opt-out-Liste: bis zum Widerruf der Abmeldung — gesetzlich notwendig.

8. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Anfragen richten Sie bitte an datenschutz@rexity.ai. Sie können sich zudem bei der zuständigen Aufsichtsbehörde beschweren.

9. Kontakt

datenschutz@rexity.ai

Diese Datenschutzerklärung ist ein Entwurf zur juristischen Prüfung und wird vor Live-Schaltung der WhatsApp- und Sprach-Kanäle finalisiert.